Endlich ist es soweit: IPv6 ist nun in vollem Umfang in der NETWAYS Cloud nutzbar! Viele haben es bereits angefragt, andere haben es gefürchtet – doch eines ist klar: IPv6 ist die Zukunft. Daher ist es umso wichtiger, unseren Kunden die Möglichkeit zu geben, es zu nutzen.
Einige fragen sich vielleicht: Warum erst jetzt? Immerhin wurde IPv6 bereits 1998 ratifiziert.
Die Herausforderung: SDN
Jeder IT-Experte kennt das Problem: Altlasten. Unser bisheriges SDN, das die Netzwerke bereitgestellt hat, hatte IPv6 Support mit NAT implementiert. OpenStack-Server erhielten eine IPv6-Floating-IP, doch eingehende Anfragen wurden auf IPv4 genattet, sodass sie am IPv4-Interface des Servers ankamen. IPv6-Kennern läuft bei dieser Vorstellung ein kalter Schauer über den Rücken – und das zu Recht.
Das IPv6-Protokoll ist für eine direkte Ende-zu-Ende-Kommunikation ausgelegt. NAT gehört nicht zum Konzept und schon gar nicht als Umweg über IPv4. Es gibt zwar Fälle, in denen NAT notwendig ist, aber dafür gibt es Technologien wie NAT64 und NAT46, die eigentlich nur dazu dienen, Altbestandssysteme ohne IPv6-Unterstützung in das neue Netz zu integrieren oder IPv4-Dienste aus dem IPv6-Netz erreichbar zu machen.
Diese Einschränkungen waren einer der Hauptgründe, unser altes SDN zu ersetzen. Die Migration erfolgte über mehrere Jahre hinweg im Parallelbetrieb. Wie genau das funktioniert hat, werde ich in einem zukünftigen Beitrag detailliert erklären. So viel vorweg: Die Umstellung war zwar herausfordernd, lief aber letztendlich erfolgreich und ohne größere Probleme ab.
IPv6-Unterstützung in OpenStack
Wie sieht die IPv6-Integration in OpenStack aus? Theoretisch lassen sich Netze und Subnetze flexibel konfigurieren. Doch woher kommt das global erreichbare Subnetz? Gute Frage!
Hierfür nutzt OpenStack sogenannte SubnetPools. Diese werden innerhalb eines AddressScopes aggregiert, um eine eindeutige Adressierung zu gewährleisten. Konkret bedeutet das: Ein AddressScope enthält einen oder mehrere SubnetPools mit einzigartigen Subnetzen.
Jeder Kunde erhält beim Anlegen eines Netzwerks automatisch einen SubnetPool zugewiesen. Die Subnetzgröße beträgt /56. Da ein einzelnes IPv6-Netzwerk immer /64 ist, lassen sich daraus 256 Subnetze erstellen. Der SubnetPool ist für alle gestarteten OpenStack-Projekte verfügbar. Das erleichtert die Verwaltung von Firewall-Regeln, da alle Anfragen aus dem delegierten /56-Bereich stammen.
Sicherheit: Ist mein Server nun offen im Internet?
Einige könnten sich jetzt sorgen: Wenn mein Server eine globale IPv6-Adresse hat, ist er dann direkt aus dem Internet erreichbar und somit angreifbar?
Die Antwort: Nein. Eingehender Traffic wird standardmäßig geblockt. Kein Port ist automatisch geöffnet. Ports müssen explizit freigegeben werden.
Falls bereits Sicherheitsregeln für SSH & Co. bestehen: Kein Problem! IPv6-Regeln müssen separat definiert werden. Statt 0.0.0.0/0 (IPv4) muss ::/0 (IPv6) freigegeben werden. Achtung: Dadurch wird der Port von überall erreichbar! Falls der Zugriff nur innerhalb eines bestimmten Netzwerks erfolgen soll, muss dies explizit festgelegt werden.
Es bietet sich also an, den Port für die default Sicherheitsgruppe freizugeben. Diese Sicherheitsgruppe erhält ein Server in dem Projekt automatisch, wodurch der Port dann ebenfalls automatisch freigeben wird. Sollten nur Server Zugriff auf den Port erhalten, die auch der Sicherheitsgruppe angehören, kann stattdessen die selbige Sicherheitsgruppe ausgewählt werden.
IPv6 in Action
Die einfachste Möglichkeit, mit IPv6 zu starten, ist das Anlegen eines neuen Netzwerks in MyNWS. Dabei wird im Hintergrund alles korrekt eingerichtet, und Bestandskunden erhalten automatisch den IPv6-Prefix (/56).
Unter Networks lassen sich bestehende Netzwerke verwalten und neue anlegen. Ein Klick auf Create Network öffnet die entsprechende Eingabemaske – der Haken für IPv6 Support ist standardmäßig gesetzt.
Bei der Benutzung von IPv6 entstehen keine zusätzlichen Kosten. Jedoch wird für ein weiteres Netzwerk 2,30€ pro Monat durch die Bereitstellung eines zusätzlichen Routers berechnet. Bestandsnetzwerke können aber auch mit IPv6 ausgestattet werden. Das geht aber erst nach der Anlage des ersten IPv6 Netzwerkes im MyNWS. Es ist dann aber leider auch nur über die OpenStack APIs direkt möglich, also entweder per Horizon oder CLI. Falls diesbezüglich Wünsche aufkommen, können wir dies auf Anfrage selbstverständlich gerne übernehmen.
IPv6-only
Für echte IPv6-Enthusiasten gibt es sogar die Möglichkeit, auf IPv6-only umzusteigen. Dabei gibt es jedoch eine technische Besonderheit:
Unsere OpenStack-Umgebung erfordert beim Erstellen von Servern die ConfigDrive-Option. Warum? Normalerweise erfolgt die Initialisierung über eine „Well-Known-IP“ – diese existiert in unserer OpenStack-Version jedoch nur für IPv4. Ohne diese IP kann der Metadata-Port per IPv6 nicht aufgerufen werden. Die Nutzung von ConfigDrive umgeht dieses Problem, indem die Server-Metadaten als ISO-Datei bereitgestellt und als virtuelles CD/DVD-Laufwerk eingebunden werden.
Natürlich stehen wir auch hier mit unserer Expertise bereit und freuen uns über eure Anfragen!
Starte noch heute mit IPv6
Mit der Einführung von IPv6 Support in der NETWAYS Cloud haben wir unsere Infrastruktur zukunftssicher und noch leistungsfähiger gemacht. Jetzt liegt es an dir – nutze IPv6 entweder parallel zu IPv4 oder als einzigen IP Standard, und profitiere von einer deutlich erhöhten Anzahl an IP-Adressen, verbesserten Netzwerkmöglichkeiten und einer langfristigen Kompatibilität mit modernen Internetstandards.
Solltest du noch weitere Fragen zur Umsetzung, technischen Details oder einer möglichen Migration haben, kann ich dir unsere Dokumentation oder einen unserer MyEngineers® ans Herz legen.
0 Kommentare